CVE-2024-6375
Missing authorization check may lead to shard key refinement
6.5
MEDIUM
CVSS 3.1
EPSS 0.30%
描述
A command for refining a collection shard key is missing an authorization check. This may cause the command to run directly on a shard, leading to either degradation of query performance, or to revealing chunk boundaries through timing side channels. This affects MongoDB Server v5.0 versions, prior to 5.0.22, MongoDB Server v6.0 versions, prior to 6.0.11 and MongoDB Server v7.0 versions prior to 7.0.3.
如何修補 CVE-2024-6375
要修補 CVE-2024-6375,請將受影響套件升級到下列已修補版本。
- —升級至 5.0.22 或更新版本
CVE-2024-6375 正在被利用嗎?
低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。
受影響套件(1)
- >= 5.0.0, < 5.0.22, >= 6.0.0, < 6.0.11, >= 7.0.0, < 7.0.3
CVSS 分數
| 來源 | 版本 | 嚴重程度 | 向量 |
|---|---|---|---|
| osv | CVSS 3.1 | MEDIUM6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L |